Unternehmen die wissenschaftliche Forschung mit Gesundheitsdaten betreiben, sollte sich die folgende Empfehlung ansehen. Die Datenschutzkonferenz (DSK) hat am 24.11.2022 mit dem Titel „Petersberger Erklärung“ eine Empfehlung zur datenschutzkonformen Verarbeitung von Gesundheitsdaten in der wissenschaftlichen Forschung abgegeben (siehe auch die dazugehörige Pressemitteilung).
Ziel der Entschließung der Aufsichtsbehörden ist es Forschung zu ermöglichen und gleichzeitig die (Datenschutz-)Grundrechte der Bürgerinnen und Bürger zu wahren. Die DSK hat sich in der Empfehlung auf folgenden besonders hervorgehobenen Punkte geeinigt (tw. gekürzt):
- Die Menschen stehen im Mittelpunkt der Forschung. Sie dürfen nicht zum bloßen Objekt der Datenverarbeitung gemacht werden. Entsprechende Verarbeitungsprozesse müssen daher rechtmäßig sowie für betroffene Personen stets transparent und nachvollziehbar sein.
- Es gilt der Grundsatz: Je höher der Schutz der betroffenen Personen durch geeignete Garantien und Maßnahmen, desto umfangreicher und spezifischer können die Daten genutzt werden.
- Zu den grundlegenden Garantien und Maßnahmen gehören die Verschlüsselung, die Pseudonymisierung durch eine Vertrauensstelle und die frühestmögliche Anonymisierung. Zusätzlich sind besondere Anforderungen bei Verarbeitungen in Drittländern zu beachten. Anonyme Datensätze, die die Re-Identifikation auch für Personen mit Zusatzwissen irreversibel ausschließen, können Forschende umfassend nutzen.
- Auswertungen anhand von Falldaten greifen insbesondere dann besonders tief in die Rechte und Freiheiten der betroffenen Personen ein, wenn Datensätze aus verschiedenen Quellen verknüpft werden. Daher müssen die Art und der Umfang der Bereitstellung, der Zweck der Auswertung und die Forschenden persönlich besondere Schutzanforderungen erfüllen.
- Mit einem zentralen Registerverzeichnis sollten die Nutzung der in den verschiedenen Registern gespeicherten Daten für alle Beteiligten transparent gestaltet und mehrfache Datensammlungen vermieden werden.
- Durch eine gesetzliche Regelung des Forschungsgeheimnisses ist der Umgang mit personenbezogenen medizinischen Forschungsdaten für wissenschaftlich Forschende auch in strafrechtlicher und prozessualer Sicht klarzustellen.
- Die Datenschutzbehörden müssen die Einhaltung datenschutzrechtlicher Anforderungen umfassend und effektiv überwachen und durchsetzen können.
Nach Ansicht der DSK besteht auch auf nationaler Ebene Bedarf, die Regelungen für die Nutzung von Forschungsdaten näher zu spezifizieren und kohärent auszugestalten. Ziel dabei sollte eine länderübergreifende, einheitliche Regelung zur Verarbeitung von Gesundheitsdaten zu
wissenschaftlichen Forschungszwecken sein, die Forschungsverbünden mit Partnern in unterschiedlichen Bundesländern das Einhalten der datenschutzrechtlichen Anforderungen erleichtert. Falls die Verarbeitung in einem Drittland stattfinden soll führt die DSK aus, falls "Datenverarbeitungen auch in Ländern außerhalb des Europäischen Wirtschaftsraums stattfinden sollen, entstehen dadurch Risiken, denen mit besonderen Garantien zu begegnen ist. Dies ist nach der DSGVO gewährleistet mit Beschlüssen nach Art. 45 DSGVO und bei Garantien nach Art. 46 DSGVO einschließlich gebotener ergänzender Maßnahmen. Auch in allen anderen Fällen sollten Pseudonymisierungen oder Verschlüsselungen ausschließen, dass die Daten im Drittland einer spezifischen Person zugeordnet werden können".
